Object-grouping özelliğini dynamic nat senaryolarındaki policy’lerimizi oluşturan access-list’lerimiz içerisinde kullanırsak listelere dinamiklik ve kolaylık kazandırabilmemiz mümkündür.Ağımızda bulunan 10 adet makinenin 10 adet farklı ip adresine giderken farklı bir ip adresine (mesela 192.168.1.111) “many-to-one nat” yani operasyonel olarak “PAT (port adress translation) yapmak istiyorsanız, 10×10=100 adet ACE (access list entry) oluşturmanız gerekmektedir.Fakat object-grouping ile nesnelerimizi gruplandırdıktan sonra kolay bir şekilde yapılandırmamızı tamamlayarak group içerisindeki nesnelerin kombinasyonlarını yapmak için ASA bize yardımcı olacaktır.Protokol,kaynak adres,hedef adres ve port bilgileri yerine object group nesneleri kullanılabilmektedir.
object-group network rbb_interfaces
network-object host 192.168.1.1
network-object host 172.26.26.1
object-group service management_servisleri tcp
port-object eq ssh
port-object eq telnet
port-object eq www
port-object eq https
access-list management_nat_to_rbb extended permit tcp host 10.0.1.11 object-group rbb_interfaces object-group management_servisleri
global (outside) 2 192.168.1.111 netmask 255.255.255.0
nat (inside) 2 access-list management_nat_to_rbb
show nat
tüm nat kurallarinin kombinasyonlarini gösterir (mesela object group ile yaptiysak her object için tüm kombinasyonları yaparak tek tek gösterir)
show nat inside outside
inside tan outside a olan nat kurallarini gösterir.
